PERSONVERN

Halve befolkningen ligger i databasen til Min idrett. Nå stenges søk etter avsløring

Idrettsforbundets IT-sjef Kjetil Bakke var rask med å stenge søkefunksjonen da digi.no tok kontakt.
Idrettsforbundets IT-sjef Kjetil Bakke var rask med å stenge søkefunksjonen da digi.no tok kontakt. Bilde: Marius Jørgenrud
7. mars 2017 - 06:00

Norges idrettsforbund (NIF) ble i forrige uke kontaktet av digi.no, etter at vi hadde avdekket en mulig svakhet i deres nettjeneste Min idrett.

Vår bekymring ble raskt bekreftet. NIF svarte med å umiddelbart stenge muligheten for å søke opp familiemedlemmer og de sendte avviksmelding til Datatilsynet.

Det gjelder idrettens sentrale database med 3,6 millioner personer. Justert for duplikater og det NIF regner som gamle data er det riktignok snakk om cirka 2,5 millioner registrerte, tilsvarende halve befolkningen.

Kjente til risiko

I tjenesten var det mulig å knytte til seg familiemedlemmer og familierelasjoner ved å søke på epostadresser. Ved treff i idrettens database fikk man da opp navn, gateadresse og postnummer.

Våre undersøkelser sannsynliggjorde at også personer med hemmelig adresse kunne bli avslørt ved slike søk, noe NIF også bekrefter.

– Dette er noe vi ser alvorlig på og derfor har vi stengt og fjernet søket. Vi må ta selvkritikk for at det i det hele tatt var mulig, sier idrettsforbundets IT-sjef Kjetil Bakke.

Ved å mate inn epostadresser fikk man opp navn, gateadresse og postnummer. Dette skjedde i trinnet før man bekrefter et familiemedlem. Fordi vi aldri trykket på knappen «legg til» ble heller ingen informert om søkene vi utførte i våre undersøkelser. <i>Foto: skjermdump digi.no</i>
Ved å mate inn epostadresser fikk man opp navn, gateadresse og postnummer. Dette skjedde i trinnet før man bekrefter et familiemedlem. Fordi vi aldri trykket på knappen «legg til» ble heller ingen informert om søkene vi utførte i våre undersøkelser. Foto: skjermdump digi.no

Han vedgår samtidig at Idrettsforbundet har kjent til risikoen. Det er bakgrunn for at de tidligere har tatt opp en utfordring med datavask mot Folkeregisteret både med Evry og i samtaler med Datatilsynet.

– I april i fjor sendte vi en søknad om å ta i bruk personnummer for å øke datakvaliteten. Vi ba samtidig om familierelasjoner på barn nettopp for å kunne ivareta koblingen, men fikk avslag fra Skattedirektoratet for sistnevnte, sier Bakke og fortsetter.

– Noe av begrunnelsen for å søke om matching på familierelasjoner var blant annet hensynet til å sikre at barn tilknyttet familie med hemmelig adresse ble tilfredsstillende sikret. I samråd med Datatilsynet sendte NIF en fornyet søknad til Skattedirektoratet i forrige måned og la vekt på denne saken spesifikt.

Også denne søknaden resulterte i avslag på ønsket om tilgang til relasjonen barn/foreldre. NIF vurderer nå om de skal gå videre med saken til Finansdepartementet, opplyser Bakke.

Strengt fortrolig

Hvorvidt man kunne få opp folkeregistrerte opplysninger eller ikke, var ifølge ham avhengig av om den man søkte opp hadde validert sine opplysninger.

NIF oppgir at cirka 20 prosent av de oppførte i databasen har utført slik validering. Slike medlemmer klarer de å «vaske» maskinelt mot Folkeregisteret.

Men personer med fortrolig (kode 7) eller strengt fortrolig adresse (kode 6), som ikke hadde informert sine lokale idrettslag om dette, kunne med nevnte søkefunksjon bli avslørt, dersom de ikke var validert.

Under press for å forenkle tjenestene

NIF er under et sterkt press fra idrettens brukere om å forenkle tjenestene, sier Bakke. Egentlig skulle han sett at det offentlige kunne tilby et egnet register for frivilligheten. <i>Foto: Marius Jørgenrud</i>
NIF er under et sterkt press fra idrettens brukere om å forenkle tjenestene, sier Bakke. Egentlig skulle han sett at det offentlige kunne tilby et egnet register for frivilligheten. Foto: Marius Jørgenrud

Hele poenget med å knytte registreringene, særlig av barn, til familierelasjoner er for å gjøre det enkelt å behandle påmeldinger og aktiviteter i idrettslagene. Ikke bare den nære familie, men også besteforeldre, verger, nieser og så videre.

Artikkelen fortsetter etter annonsen
annonse
Schneider Electric
Schneider Electric lanserer Galaxy VXL UPS
Schneider Electric lanserer Galaxy VXL UPS

IT-sjef Kjetil Bakke forklarer at NIF er under et sterkt press fra idrettens brukere om å forenkle tjenestene.

– Skaper det problemer for dere at søkefunksjonen nå er tatt ned?

– Ikke for oss, men vi får sikker pepper fra noen av idrettens brukere som synes det var nyttig å slå brukerkonto sammen med barnas konto basert på epostadressen.

Forbundet har rundt 30.000 organisasjonsledd som bruker samme grunnlagsdata fra de sentrale databasene, der man søker på tvers av idrettslag og -aktivitet.

– Bør ikke utlevere mer enn du putter inn

Før søketjenesten ble stengt var digi.no i kontakt med Datatilsynet, som hadde følgende å si.

– Når Norges idrettsforbund får melding om dette forventer vi at de tar det seriøst og undersøker om dette er en ønsket og lovlig funksjonalitet, og da særlig hvis løsningen kan bli brukt til å hente ut adresser, og spesielt de med skjermingsbehov for adressen sin. Det høres ikke ut som om dette er nødvendige opplysninger for å knytte kontakt med et typisk familiemedlem, sa avdelingsdirektør Helge Veum.

Datatilsynet kunne naturligvis ikke saksbehandle i et presseoppslag, og har heller ikke gått grundig inn og sett på løsningen. I første omgang mente tilsynet at forbundet måtte gjøre en egen vurdering på om det vi tar opp er en ønsket og lovlig funksjonalitet.

– I utgangspunktet bør ikke sånne tjenester levere ut mer informasjon enn du putter inn selv, sa Veum.

Jeg som IT-sjef synes selvfølgelig det er synd at det offentlige pøser milliarder inn i digitalisering, og så opplever vi som den største frivillige organisasjonen budsjettkutt

Ønsker mer offentlig drahjelp

Det er Idrettsforbundet som selv drifter den aktuelle databasen, som ifølge Bakke er et av landets største registre.

Nettjenesten og de underliggende databasene er således en viktig del av digitaliseringen av breddeidretten i Norge. Her skulle Bakke gjerne ønsket seg mer drahjelp fra myndighetene.

NIF IT består i dag av rundt 45 ansatte. En tredel jobber med IT-support i Drammen og resten jobber med drift, utvikling og forvaltning fra lokalene ved Ullevål Stadion (bildet). De kjøper også inn tjenester med offshoring fra Bulgaria. Foruten nettjenester for publikum forvalter de også en infrastruktur med 1500 brukere på kontorstøtteplattform, 42 ulike lokasjoner med nettilgang, 8000 databaser og 300 servere. <i>Foto: Marius Jørgenrud</i>
NIF IT består i dag av rundt 45 ansatte. En tredel jobber med IT-support i Drammen og resten jobber med drift, utvikling og forvaltning fra lokalene ved Ullevål Stadion (bildet). De kjøper også inn tjenester med offshoring fra Bulgaria. Foruten nettjenester for publikum forvalter de også en infrastruktur med 1500 brukere på kontorstøtteplattform, 42 ulike lokasjoner med nettilgang, 8000 databaser og 300 servere. Foto: Marius Jørgenrud

– Det handler om hvordan det offentlige håndterer at frivilligheten skal fly digitalt. Det koster idretten ganske mye penger å drifte et så stort register. Grunnen til at vi gjør det er for å digitalisere norsk kultur og idrett. Det burde vært et sentralt register som håndterte dette for frivilligheten og som tok personvernet litt mer på alvor.

Kutt i overføringene

Kulturministeren har kuttet i pengeoverføringene til NIF, som i år har fått 130 millioner kroner til administrasjon. De søkte om 147 millioner, men må i stedet nøye seg med et budsjett som er fem millioner mindre enn i fjor. Regjeringen har varslet tilsvarende kutt til neste år. 

– Jeg som IT-sjef synes selvfølgelig det er synd at det offentlige pøser milliarder inn i digitalisering, og så opplever vi som den største frivillige organisasjonen budsjettkutt. Vi sitter tross alt med et av landets største registre, avslutter Kjetil Bakke.

Nye og strengere personvernregler innføres i Europa: De som ikke har kontroll på disse 5 tingene, risikerer gigantbøter » (Digi Ekstra)

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
Har muligheten for hjemmekontor blitt den nye normalen?
Les mer
Har muligheten for hjemmekontor blitt den nye normalen?
Tekjobb
Få annonsen din her og nå frem til de beste kandidatene
Lag en bedriftsprofil
En tjeneste fra